IT@Security 보안컨설팅 #4 주통기 실습 3. LDAP 인젝션

728x90

3. LDAP 인젝션

<개요>

■ LDAP 인젝션이란?

컴퓨터 보안에서 LDAP 주입은 민감한 사용자 정보를 드러내거나 LDAP 데이터 저장소에 표시된 정보를 수정할 수 있는 웹 응용 프로그램을 악용하는 데 사용되는 코드 주입 기술입니다.

사용자 입력을 기반으로 LDAP(Lightweight Directory Access Protocol)구문을 구축하여 웹 기반 응용 프로그램을 악용하는 데 사용되는 공격입니다.

웹 취약점 중 한가지인 LDAP 인젝션은 SQL인젝션과 비슷한 개념으로, 사용자가 입력하는 내용에 SQL과 관련된 문법을 넣어서 해당 문법이 실행되어 정보를 조작하거나 탈취하는 취약점 입니다.

특수문자(=，+，〈，〉，#，;/등)를 사용자가 대입하는 경우에 해당 값을 치환하여 실행되지 않게 하여야 합니다.

"SQL인젝션이 조건절에 대한 쿼리문 실행" 에 대해서 강조를 한다면,

"LDAP 인젝션은 특수문자에 대한 쿼리문 실행" 이 좀 더 집중한 개념입니다.

출처 [위키백과]

출처 [티스토리]

■ 점검내용

웹페이지 내 LDAP 인젝션 취약점 점검

■ 점검목적

취약한 시스템에 신뢰할 수 없는 LDAP 코드 삽입 공격을 통한 비인가자의 악의적인 행위를 차단하기 위함

■ 보안위협

응용 프로그램이 사용자 입력 값에 대한 적절한 필터링 및 유효성 검증을 하지 않아 공격자는 로컬 프록시를 사용함으로 LDAP 문의 변조가 가능함

공격 성공 시 승인되지 않은 쿼리에 권한을 부여하고, LDAP 트리 내의 내용 수정이나 임의의 명령 실행을 가능하게 하므로 적절한 필터링 로직을 구현하여야 함

<점검대상 및 판단기준>

■ 대상

웹 애플리케이션 소스코드, 웹 방화벽

■ 판단기준

양호 : 임의의 LDAP 쿼리 입력에 대한 검증이 이루어져 변조된 쿼리가 실행되지 않는 경우

취약 : 임의의 LDAP 쿼리 입력에 대한 검증이 이루어지지 않아 변조된 쿼리가 실행되는 경우

■ 조치방법

웹 서버 프로그램을 최신 버전으로 업데이트하고 포맷 스트링 버그를 발생시키는 문자열에 대한 검증 로직 구현

<점검 및 조치 사례>

■ 점검방법

Step 1) 사용자 입력 값에 변조된 LDAP 쿼리 삽입 후 실행되는지 확인

728x90